mercredi 24 janvier 2018    || Inscription
BanniereNews
 
 
News Partenaires

2016 a été une année record en matière de failles de sécurité. De récentes études indiquent que le nombre de dossiers exposés a atteint les 4,2 milliards l'année dernière, contre seulement 1,1 milliard en 2013.

[Lire l'article...]

Le Clusif a rendu publique hier l’édition 2016 de son rapport MIPS (Menaces Informatiques et Pratiques de Sécurité en France). Publié tous les deux ans, ce rapport dresse un état des lieux sur l’état de la sécurité de l’information en France.

 

Cette étude, qui a été menée par le Cabinet GMV auprès de 334 entreprises de plus de 200 salariés, 203 collectivités territoriales, et 1008 particuliers internautes, dresse un état des lieux à un instant précis de l’état des menaces et de la sécurité de l’information en France. C’est une des rares études totalement indépendantes sur le sujet. Elle est structurée en trois parties : 

La partie entreprises, très détaillée, dont la synthèse a été réalisée par Lionel Mourer, d’Atexio. Le panel est constitué de 334 entreprises de plus de 200 salariés. Il fait ressortir les conclusions suivantes :

- De manière un peu surprenante, les budgets de sécurité continuent à stagner : la part du budget informatique qui reste allouée à la sécurité informatique reste relativement constante : elle était de 15% (pour plus de 6% du budget alloué à la sécurité informatique) en 2016, contre 16% en 2014. D’autre part, le pourcentage des budgets « constants » augmente (67% contre 54% en 2014) tandis que les budgets « en augmentation » diminuent (18% contre 27% en 2014). « La plus forte augmentation se note dans les budgets industrie-télécom, où il faut sans doute voir l’impact de la LPM » note Lionel Mourer. Le manque de budget est évoqué à 42% (34% en 2014) comme frein au développement de la sécurité de l’information, et le manque de personnel qualifié à 30% (16% en 2014). 

- 69% des entreprises ont finalisé en PSI (politique de sécurité informatique). Lorsqu’elle est formalisée, le soutien de la direction générale est de 90%. 

Une fonction RSSI en nette augmentation dans les entreprises 

- La fonction de RSSI : elle est en nette augmentation, comme le note le rapport : « la fonction de Responsable de la Sécurité des Systèmes d’Information (RSSI ou RSI) continue sa progression au sein des entreprises, ce qui va dans le sens de l’histoire… La croissance est remarquable, passant de 37% (en 2008) à 67% (2016), soit une croissance de 181% en 8 ans ! ».

- Le rattachement du RSSI : pour beaucoup d’entreprises, il dépend encore de la DSI, « ce qui, à notre sens, n’est pas souhaitable », note Lionel Mourer. Le rapport souligne que : « le RSI ou RSSI est soit rattaché à la DSI (42% contre 46% en 2014), soit à la direction générale (30% (+3 points vs 2014), où, en troisième position à la Direction Administrative et Financière (DAF) (7%) ou directement des entreprises interviewées. Ceci s’explique encore par les arrivées plus nombreuses de RSSI au sein d’entreprises de tailles moyennes, provenant très souvent de la DSI et ayant un niveau de maturité en Sécurité des SI moyen, voire faible ».

- Les missions  du RSSI sont encore très dévolues aux  aspects techniques (29%, 24% en 2014), aux tâches opérationnelles, (24%, vs 23% en 2014), aux aspects de communication, comme la sensibilisation (14%, 16% en 2014). Il semblerait, sous toutes réserves et la tendance demande à être confirmée, qu’un certain recentrage technique et sur les aspects opérationnels de la fonction s’opère…  « ce qui est dommage » souligne le Clusif. Faut-il y voir l’impact des resserrements budgétaires et des équipes ? Il faudra confirmer cette tendance dans les années qui viennent.

- Le reste de l’étude pour la partie entreprises souligne que la sensibilisation  des salariés marque le pas, et que, par contre, l’inventaire et la classification des actifs progresse, mais lentement : 33% des entreprises le font, contre 27% en 2012… ce qui veut dire tout de même que 67% des entreprises ne le font pas. 

La cryptographie encore peu utilisée

- La cryptographie reste encore peu utilisé : 34% en moyenne tous secteurs confondus.

- Concernant les pratiques de sécurité, la sécurité des terminaux mobiles s’améliore entre dans les mœurs : « on note avec intérêt, souligne le rapport, que l’effort de mise en place de ces solutions se déplace aussi vers les nouveaux équipements qui sont devenus incontournables : les smartphones et tablettes. Ils sont maintenant couverts par des dispositifs similaires aux PC : antivirus / antimalware : +19 points, pare-feu : +7 points, chiffrement des données : +6 points.

- 42% des entreprises ont maintenant recours au Cloud (38% en 2014).

- 58% des entreprises n’ont pas procédé à une évaluation de l’impact financier des incidents, mais 26% ont une police d’assurances.

- Dans les incidents, les virus se taillent la part du lion (44%, contre 30% en 2014), suivis de près par les pannes d’origine interne (31%).

- Le BYOD ne fait plus recette : 68% des entreprises interdisent l’accès eu réseau de l’entreprise à partir de postes non maîtrisés (59% en 2014). 

Les autres parties du rapport MIPS concernent les collectivités territoriales  et les particuliers internautes 

Concernant les collectivités territoriales, 203 collectivités ont été interrogées. Thierry Henniart, Responsable de la Sécurité du Système d’Information Région Nord-Pas de Calais, a établi une synthèse très complète. Sans rentrer dans un détail trop exhaustif, on peut noter que :

- Les budgets alloués à la sécurité de l’information sont en baisse ou en stagnation : « globalement », note le rapport, les difficultés budgétaires touchent également les Collectivités. Ainsi, seul 18% des collectivités interrogées voient leur budget dédié à la sécurité progresser (-10% pt) ; dans le même temps pour une grande majorité (67%) la part alloué à la sécurité reste « constante ».

- Le poste de RSSI peine à s’identifier dans les collectivités territoriales : « depuis 2012, la fonction de RSSI ou de RSI ne progresse en moyenne que de 3 points pour passer à 35% ». « Il faut Il faut s’interroger sur les raisons de cette régression : manque de profil spécialisée, réduction des effectifs ou, le RSSI en Collectivité n’aurait-il pas su convaincre de l’utilité de sa mission ? » se demande le rapport.

- 32% des collectivités ont formalisé une PSSI.

- La charte informatique s’applique à 100% des agents et 60% des élus…

- 38% des collectivités ont désigné un CIL (Correspondant Informatique & Libertés) , mais pour 46% c’est non. Pourtant, le Règlement Européen s’applique… 

Enfin, concernant les particuliers internautes
, la synthèse a été menée par le Colonel Eric Freyssinet.

- Aucune surprise, l’équipement progresse : 79% des internautes ont un ordinateur portable, et 75% un smartphone. 

Vers la fin du BYOD ? 

- La fin du BYOD ? Comme les entreprises ont tendance à freiner les usages extra-professionnels, le BYOD est-il en train de marquer le pas ? « Bien que toujours élevé il est intéressant de noter que le nombre de personnes interrogées faisant usage d’équipements professionnels dans leur sphère privée recule (- 4 points). Ceci, quelle que soit la catégorie socioprofessionnelle. Dans une moindre mesure, l’inverse est également en recul. En effet l’utilisation d’équipements personnels à des fins professionnelles baisse de 2 points », note le rapport.

- L’achat sur Internet via mobile progresse peu : « en effet, s’il est devenu pour lui banal d’acheter en ligne, l’internaute sait rester vigilant lorsque vient le moment de payer. L’achat sans condition reste faible quel que soit le type de terminal (18% pour les ordinateurs, 9% pour les terminaux mobiles). Il faut noter que le paiement sur Internet progresse nettement : ils sont 54% à ne jamais payer sur terminal mobile en 2016 contre 67% en 2014, idem sur les ordinateurs avec 8% en 2016 contre 11% en 2014. L’achat (sous condition ou non) sur PC fixe ou portable reste nettement privilégié au détriment des smartphones et tablettes (74% vs 34%) », souligne le rapport. 

La confiance, une condition sine qua none de l’achat en ligne 

- La confiance demeure une condition sine qua none de l’achat sur Internet : « Les conditions requises majoritairement par les Internautes qui paient sur Internet sont essentiellement liées à la confiance (82% mettent comme condition que le site soit sécurisé, 61% que le paiement soit  sécurisé, 51% que le site ait une notoriété importante et 44% que le site dispose d’un intermédiaire de paiement). L’habitude est également un critère important », note le rapport. 

En résumé, très exhaustif sur les pratiques hexagonales en matière de sécurité de l’information, ce rapport, accessible à l’adresse suivante : https://www.clusif.fr/fr/production/ouvrages/pdf/CLUSIF_2016_Rapport-MIPS_vF.pdf
pourra faire dire à certains que la sécurité stagne... faut-il aussi y voir la marque d’une certaine maturité, à l’image du BYOD qui marque le pas ? L’avenir le dira. 




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Billet d'humeur

Histoire vécue incroyable de RSSI (3)

Le rêve d’un « service premium gratuit » et de contrats de maintenance à vie sans payer (n°3 d’une longue série à venir.)

la rédaction 0 2762

Les histoires ci-dessous sont tirées de cas réels de comportements déviants d’utilisateur / utilisatrice, assez incroyables, mais complètement réelles.
Il est usuel d’exiger une qualité de service parfaite. Les produits doivent fonctionner et n’avoir aucun défaut. Le fournisseur doit apporter une réponse immédiate à tout, y compris pour fournir des services qu’il n’a jamais envisagés, et le tout gratuitement.
Des telles attentes reposent sur un malentendu dans lequel l’utilisateur est aussi fautif que le fournisseur. Que l’on soit avec un service de grande consommation, ou avec un service professionnel.

123


Événements SSI

FIC

Forum International de la Cybersécurité à Lille

la rédaction 0 1017

Le 10ème Forum International de la Cybersécurité occupe les 23 et 24 janvier 2018 le Grand Palais de Lille. Organisé par la Région Hauts-de-France et Euratechnologies, la Gendarmerie Nationale et CEIS.

UNIVERSITÉ DES DPO

12ème Université des DPO, anciennement Université des Correspondants Informatique & Libertés

la rédaction 0 400

La 12ème Université des DPO (Data Protection Officers), anciennement Université des CIL, l’événement incontournable des professionnels de la conformité à la loi Informatique et Libertés et au RGPD, a pour cadre le mercredi 24 janvier 2018 la Maison de la Chimie, à Paris. Organisée par l’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel).

RENCONTRES AMRAE

L'intelligence des risques pour franchir de nouveaux caps

la rédaction 0 241

Les 26èmes Rencontres de l'AMRAE (Association française des professionnels de la gestion des risques et des assurances) ont lieu du 7 au 9 février 2018 à Marseille (parc Chanot) sur le thème : "l'intelligence des risques pour franchir de nouveaux caps". Organisées par l'AMRAE.;nement.<:p>

IT MEETINGS

Salon business de l'IT et de la sécurité informatique

la rédaction 0 1006

Le salon business de l'IT et de la sécurité informatique aura pour cadre à nouveau du 20 au 22 mars 2018 le palais des festivals et des congrès de Cannes. Organisé par Weyou Group.

DOCUMATION

Couplé avec le Data Intelligence Forum

la rédaction 0 896

Congrès et exposition Documation et Data Intelligence Forum, deux événements pour réussir sa digitalisation, du 20 au 22 mars 2018  à Paris Porte de Versailles. Organisé conjointement avec les salons Solutions RH, Solutions Intranet, Collaboratif et RSE et I-expo par Infopromotions.

SSI SANTÉ

6ème Congrès National de la Sécurité des SI de Santé

la rédaction 0 761

Le 6ème Congrès National de la Sécurité des SI de Santé a lieu du 3 au 5 avril 2018 au Mans avec pour thèmes : Europe & RGPD, cyber-insécurité, technologies & méthodes. Organisé par l'Apssis (Association Pour la Sécurité des Systèmes d'Information de Santé).

TESTS LOGICIELS

10ème Journée Française des Tests Logiciels

la rédaction 0 221

La 10ème Journée Française des Tests Logiciels se tient à Montrouge (Beffroi) le 10 avril 2018. Organisée par le CFTL (Comité Français des Tests Logiciels).

RSA CONFERENCE

Édition USA

la rédaction 0 1002

Dédiée à la sécurité de l'information, la RSA Conference USA se tient à San Francisco (Moscone Center) du 16 au 20 avril 2018. Organisée par RSA.

HACK IN PARIS

Cyber Security Conference

la rédaction 0 229

Pour sa 8ème édition la conférence Hack In Paris sur la sécurité IT se tient du 25 au 29 juin 2018 à Paris, Maison de la Chimie. Organisée par Sysdream.

BLACK HAT

Édition USA

la rédaction 0 204

Événement majeur mondial sur la sécurité de l'information la conférence Black Hat USA a lieu du 4 au 9 août 2018 à Las Vegas (Mandalay Bay). Organisé par UBM.

RSS